Check Point Software Technologiesは7日、9億台以上のAndroid端末が搭載しているQualcommチップセットに4件の脆弱性があることを公表し、脆弱性の有無を確認できるアプリ「QuadRooter Scanner」をGoogle Playで公開した。
「QuadRooter」と名付けられた4件の脆弱性は、製造時にプリインストールされるQualcommチップセット用ドライバーに存在する。Qualcommでは、この4件の脆弱性の修正プログラムをすでにオープンソースコミュニティやOEM向けに提供している。
脆弱性のうち2件は、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する「JVN iPedia(脆弱性対策情報データベース)」でも情報が公開されている。いずれも共通脆弱性評価システムCVSS v3による脆弱性評価は7.8と高い。
IPCルーターカーネルモジュールにおける権限を取得される脆弱性「CVE-2016-2059」は、ポートがクライアントのポートであることを検証しないため、権限を取得される、またはサービス運用妨害(競合状態およびリスト破損)状態にされるもの。Linux Kernel 3.xが対象システムとなっているが、Android OSも影響を受ける。
Nexus 5X/6P上のQualcomm GPUドライバーにおける権限を取得される脆弱性「CVE-2016-2503」は、攻撃者が悪意のあるコードを仕込んだアプリをAndroid端末にインストールさせることで、Androidデバイスのユーザー権限を昇格し、rootを取得できるもの。
脆弱性対策情報データベースに情報が登録されていない脆弱性「CVE-2016-2504」と脆弱性「CVE-2016-5340」についても、CVE-2016-2503と同様に、Qualcomm GPUドライバーにおける権限を取得されるものとなる。
いずれの脆弱性も、4件の脆弱性のうち1件でも悪用されれば、攻撃者によりrootを取得され、端末がフルコントロールされたり、端末内のデータなどに無制限にアクセスされる恐れがある。
不正アプリのインストールにはアクセス権限が不要なため、Check Pointでは、Google Play以外からアプリをインストールしないよう勧告している。
以下ソース
http://internet.watch.impress.co.jp/docs/news/1014527.html